Como reconhecer certificados de assinatura de código da VeriSign emitidos incorrectamente

No início de Maio de 2001, a VeriSign, Inc. anunciou que tinha emitido dois certificados digitais a um indivíduo que alegou, de forma fraudulenta, ser um funcionário da Microsoft. Este problema é discutido detalhadamente no Microsoft Security Bulletin MS01-017 (http://www.microsoft.com/technet/security/bulletin/ms01-017.asp) . Este artigo fornece informações que poderá utilizar para reconhecer estes certificados.

Para obter informações adicionais sobre este problema, clique no número de artigo existente abaixo para visualizar o artigo na Microsoft Knowledge Base: Para obter informações adicionais sobre como revogar o estado da fidedignidade destes certificados, clique no número de artigo existente abaixo para visualizar o artigo na Microsoft Knowledge Base: Para obter informações adicionais sobre como remover a autoridade de certificação (AC) dos editores comerciais de software da VeriSign (VeriSign Commercial Software Publishers CA) do arquivo fidedigno, clique no número de artigo existente abaixo para visualizar o artigo na Microsoft Knowledge Base: Para obter informações adicionais sobre como obter uma ferramenta para revogar estes certificados fraudulentos, clique no número de artigo existente abaixo para visualizar o artigo na Microsoft Knowledge Base:

Estes certificados não são fidedignos por predefinição, mesmo que tenha optado anteriormente por considerar como fidedigno conteúdo da Microsoft; por esta razão, sempre que encontrar estes certificados, receberá uma caixa de diálogo de aviso. Clique em Microsoft Corporation nesta caixa de diálogo de aviso para identificar estes certificados. A Microsoft não recomenda a execução deste tipo de conteúdo assinado com estes certificados.

Certificado fraudulento 1

O primeiro certificado fraudulento pode ser identificado exclusivamente através das seguintes propriedades no separador Detalhes:

• Número de série: 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
• Emissor: OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Thumbprint: 7D7F 4414 CCEF 168A DF6B F407 53B5 BECD 7837 5931

Certificado fraudulento 2

O segundo certificado fraudulento pode ser identificado exclusivamente através das seguintes propriedades no separador Detalhes:

• Número de série: 1B51 90F7 3724 399C 9254 CD42 4637 996A
• Emissor: OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Thumbprint: 6371 62CC 59A3 A1E2 5956 FA5F A8F6 0D2E 1C52 EAC6

Detalhes completos dos certificados fraudulentos

Para uma consulta posterior, os detalhes completos destes certificados fraudulentos são fornecidos nas secções seguintes.

Certificado fraudulento 1

O separador Geral contém as seguintes informações:

• Garante que o software provém do editor de software
• Protege o software de alterações após a publicação

O separador Detalhes contém as seguintes informações:

• Versão
  V3
• Número de série
  750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
• Algoritmo de assinatura
  md5RSA
• Emissor
  OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Válido de
  Terça-feira, 30 de Janeiro de 2001 19:00:00
• Válido até
  Quinta-feira, 31 de Janeiro de 2002 18:59:59
• Assunto
  OU = Microsoft Corporation
  CN = Microsoft Corporation
  L = Redmond
  S = Washington
  C = US
  OU = Digital ID Class 3 - Microsoft Software Validation v2
  OU = www.verisign.com/repository/CPS Incorp. by Ref.,LIAB.LTD(c)96
  OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Chave pública
  3081 8902 8181 00EE FA1F C9B0 43DF 7E75 814E 3171 910B FC15 9DD9 4A8A 51F5 0918 C67C C5F1 27C4 0162 FCBF FC84 29A6 2FE6 1E02 060B 9689 D342 B173 9F02 AE75 6209 3F83 8034 4660 390A E321 4EE7 0442 D57E 5E98 4527 5D04 B927 32C0 65A4 9485 1325 DB16 F2FB 51C7 FF28 62D1 8331 4FA9 A4F4 C54F 9D00 2E14 3F95 169C 4E25 071B D57D 3871 D840 F8AA 7102 0301 0001
• Restrições de base
  Tipo de assunto=Terminar entidade
  Limitação ao comprimento do caminho=Nenhum
• Utilização de chaves
  Assinatura digital, Encriptação da chave (A0)
• Identificador da chave de autoridade
  ID da chave=7B96 E4D1 43FD 6898 F338 CC6E 3BF2 0B82
  Emissor do certificado:
  
  OU=VeriSign Commercial Software Publishers CA
  O="VeriSign, Inc."
  L=Internet
  Número de série do certificado=03C7 8F37 DB92 28DF 3CBB 1AAD 82FA 6710
• Restrições de base
  Tipo de assunto=Terminar entidade
  Limitação ao comprimento do caminho=Nenhum
• Políticas de certificados
  [1]Política de certificado:
  
  Identificador de política=2.16.840.1.113733.1.7.1.8
  [1,1]Informações do qualificador de política:

  ID do qualificador de políticas=CPS
  Qualificador:
  

  https://www.verisign.com/rpa
• SpcFinancialCriteria
  Informações financeiras=Disponível
  Cumpre o critério=Sim
• Restrições na utilização de chaves
  [1]ID da política do certificado=1.3.6.1.4.1.311.2.1.22
  Utilização da chave restrita=Assinatura digital(80)
• SpcSpAgencyInfo
  Informações de política:
  
  URL=https://www.verisign.com/repository/CPS
  Ecrã de política=This certificate incorporates by reference, and its use is strictly subject to, the VeriSign Certification Practice Statement (CPS) version 1.0, available in the VeriSign repository at:
  https://www.verisign.com; by E-mail at CPS-requests@verisign.com; or by mail at VeriSign, Inc., 2593 Coast Ave., Mountain View, CA 94043 USA Copyright (c)1996 VeriSign, Inc. All Rights Reserved. CERTAIN WARRANTIES DISCLAIMED AND LIABILITY LIMITED.
  
  WARNING: THE USE OF THIS CERTIFICATE IS STRICTLY SUBJECT TO THE VERISIGN CERTIFICATION PRACTICE STATEMENT. THE ISSUING AUTHORITY DISCLAIMS CERTAIN IMPLIED AND EXPRESS WARRANTIES, INCLUDING WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE, AND WILL NOT BE LIABLE FOR CONSEQUENTIAL, PUNITIVE, AND CERTAIN OTHER DAMAGES. SEE THE CPS FOR DETAILS.
  
  Contents of the VeriSign registered nonverifiedSubjectAttributes extension value shall not be considered as accurate information validated by the IA.
  
  Ligação do logótipo de política:
  URL=https://www.verisign.com/repository/verisignlogo.gif
• Algoritmo de thumbprint
  sha1
• Thumbprint
  7D7F 4414 CCEF 168A DF6B F407 53B5 BECD 7837 5931

O separador Caminho da certificação contém as seguintes informações:

Certificado fraudulento 2

O separador Geral contém as seguintes informações:

• Garante que o software provém do editor de software
• Protege o software de alterações após a publicação

O separador Detalhes contém as seguintes informações:

• Versão
  V3
• Número de série
  1B51 90F7 3724 399C 9254 CD42 4637 996A
• Algoritmo de assinatura
  md5RSA
• Emissor
  OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Válido de
  Segunda-feira, 29 de Janeiro de 2001 19:00:00
• Válido até
  Quarta-feira, 30 de Janeiro de 2002 18:59:59
• Assunto
  OU = Software
  CN = Microsoft Corporation
  L = Washington
  S = DC
  C = US
  OU = Digital ID Class 3 - Microsoft Software Validation v2
  OU = www.verisign.com/repository/CPS Incorp. by Ref.,LIAB.LTD(c)96
  OU = VeriSign Commercial Software Publishers CA
  O = VeriSign, Inc.
  L = Internet
• Chave pública
  3081 8902 8181 009E 30E5 9341 8E11 0767 BABD C9C6 110A AB5A 4CD6 6D0C ADFA B30E A019 1C54 7FC5 2E29 CE7E DADE EB28 D5AD 1AB0 CAD5 B2F1 9B83 E23E 448F E997 2693 B36D 390C 6967 50B9 1498 7DA4 C342 66E3 8CFC DADB 89EC 9C6B 54DD 481C C4DD 2055 B7EA 2557 B6CE FCEB E087 62A1 85A9 1FCF F2FB 2094 9BDA E53D D6B9 80E9 06AF 31A6 CD7E B3CF B490 5502 0301 0001
• Restrições de base
  Tipo de assunto=Terminar entidade
  Limitação ao comprimento do caminho=Nenhum
• Utilização de chaves
  Assinatura digital, Encriptação da chave (A0)
• Identificador da chave de autoridade
  ID da chave=7B96 E4D1 43FD 6898 F338 CC6E 3BF2 0B82
  Emissor do certificado:
  
  OU=VeriSign Commercial Software Publishers CA
  O="VeriSign, Inc."
  L=Internet
  Número de série do certificado=03C7 8F37 DB92 28DF 3CBB 1AAD 82FA 6710
• Restrições de base
  Tipo de assunto=Terminar entidade
  Limitação ao comprimento do caminho=Nenhum
• Políticas de certificados
  [1]Política de certificado:
  
  Identificador de política=2.16.840.1.113733.1.7.1.8
  [1,1]Informações do qualificador de política:

  ID do qualificador de políticas=CPS
  Qualificador:
  

  https://www.verisign.com/rpa
• SpcFinancialCriteria
  Informações financeiras=Disponível
  Cumpre o critério=Sim
• Restrições na utilização de chaves
  [1]ID da política do certificado=1.3.6.1.4.1.311.2.1.22
  Utilização da chave restrita=Assinatura digital(80)
• SpcSpAgencyInfo
  Informações de política:
  
  URL=https://www.verisign.com/repository/CPS
  Ecrã de política=This certificate incorporates by reference, and its use is strictly subject to, the VeriSign Certification Practice Statement (CPS) version 1.0, available in the VeriSign repository at:
  https://www.verisign.com; by E-mail at CPS-requests@verisign.com; or by mail at VeriSign, Inc., 2593 Coast Ave., Mountain View, CA 94043 USA Copyright (c)1996 VeriSign, Inc. All Rights Reserved. CERTAIN WARRANTIES DISCLAIMED AND LIABILITY LIMITED.
  
  WARNING: THE USE OF THIS CERTIFICATE IS STRICTLY SUBJECT TO THE VERISIGN CERTIFICATION PRACTICE STATEMENT. THE ISSUING AUTHORITY DISCLAIMS CERTAIN IMPLIED AND EXPRESS WARRANTIES, INCLUDING WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE, AND WILL NOT BE LIABLE FOR CONSEQUENTIAL, PUNITIVE, AND CERTAIN OTHER DAMAGES. SEE THE CPS FOR DETAILS.
  
  Contents of the VeriSign registered nonverifiedSubjectAttributes extension value shall not be considered as accurate information validated by the IA.
  
  Ligação do logótipo de política:
  URL=https://www.verisign.com/repository/verisignlogo.gif
• Algoritmo de thumbprint
  sha1
• Thumbprint
  6371 62CC 59A3 A1E2 5956 FA5F A8F6 0D2E 1C52 EAC6

O separador Caminho da certificação contém as seguintes informações: